EvilExtractor Malware

A kiberbiztonsági jelentések szerint az utóbbi időben megszaporodtak az EvilExtractor vagy az Evil Extractor néven ismert adatlopási eszközt használó támadások. Ezt az eszközt érzékeny felhasználói adatok ellopására tervezték, és Európában és az Egyesült Államokban is használják. Az EvilExtractor eszközt a Kodex nevű cég havi 59 dollárért értékesíti. Az eszköz hét különböző támadási modult tartalmaz, beleértve a zsarolóvírusokat, a hitelesítő adatok kibontását és a Windows Defender megkerülését. Míg a Kodex legitim eszközként forgalmazza az EvilExtractort, a bizonyítékok arra utalnak, hogy elsősorban a kiberbűnözők körében népszerűsítik a hacker fórumokon.

A kiberbűnözők információlopó rosszindulatú programként telepítik az EvilExtractor-t a vadonban. Egy kiberbiztonsági cég által közzétett jelentés szerint 2023 eleje óta megszaporodtak az EvilExtractort használó támadások. A fenyegetés szereplői összekapcsolt adathalász kampányt hoztak létre a célpontok megfertőzésére.

Az EvilExtractort adathalász e-maileken keresztül szállítjuk

Az EvilExtractor támadások egy adathalász e-maillel kezdődnek, amely fiók megerősítési kérésként jelenik meg. Az e-mail egy tömörített futtatható mellékletet tartalmazott, amelyet legitim PDF- vagy Dropbox-fájlnak álcáztak. A melléklet megnyitásakor azonban elindult egy Python végrehajtható program.

Ez a program egy PyInstaller fájlt használ a .NET betöltő végrehajtására, amely viszont egy base64 kódolású PowerShell-szkriptet aktivál az EvilExtractor végrehajtható fájl elindításához. Indításkor a rosszindulatú program ellenőrzi a megsértett rendszer gazdagépnevét és idejét, hogy megállapítsa, virtuális környezetben vagy elemzési sandboxban fut-e. Ha ilyen környezetet észlel, a kártevő leállítja a végrehajtását.

A támadásokhoz használt EvilExtractor verzió összesen hét különálló modult tartalmaz. Minden modul egy adott funkcióért felelős, mint például a dátum- és időellenőrzés, a homokozó elleni védelem, a virtuális gép-ellenőrzés, a szkenner elleni védelem, az FTP-szerver beállítása, az adatlopás, az adatfeltöltés, a naplók törlése, és még egy ransomware-képességgel rendelkező modul is.

Az EvilExtractor rosszindulatú programok kiszűrhetik az érzékeny adatokat, vagy zsarolóvírusként működhetnek

Az EvilExtractor kártevő egy adatlopó modult tartalmaz, amely három további Python-összetevőt tölt le: „KK2023.zip”, „Confirm.zip” és „MnMs.zip”.

Az első komponens sütiket szed ki olyan népszerű böngészőkből, mint a Google Chrome, a Microsoft Edge, az Opera és a Firefox. Ezenkívül a böngészési előzményeket és a mentett jelszavakat számos programból gyűjti össze.

A második komponens billentyûnaplózóként mûködik, rögzíti az áldozat billentyûzetes bemeneteit, és elmenti egy helyi mappába, hogy késõbb lehessen visszakeresni.

A harmadik komponens egy webkamera kivonó, amely hangtalanul aktiválja a webkamerát, rögzíthet videót vagy képeket, és feltöltheti azokat a támadó FTP-szerverére, amelyet a Kodex bérel.

A rosszindulatú program emellett dokumentum- és médiafájlokat is ellop az áldozat Asztaláról és Letöltések mappájáról, tetszőleges képernyőképeket készít, és az összes összegyűjtött adatot kiszűri a kezelőihez.

A rosszindulatú program zsarolóprogram-modulja be van ágyazva a betöltőbe, és aktiválásakor letölt egy további „zzyy.zip” nevű fájlt a termék webhelyéről. Ez egy fájlzároló eszköz, amely a 7-Zip alkalmazás segítségével jelszóval védett archívumot hoz létre, amely az áldozat fájljait tartalmazza, hatékonyan megakadályozva a jelszó nélküli hozzáférést.